Devolutions Server Flaw Allows Attackers to Impersonate Users via Pre-MFA Cookie
2025/11/11 gbhackers — Devolutions Server に、重大なセキュリティ脆弱性 CVE-2025-12485 (CVSS:9.4:Critical) が発見された。この脆弱性の悪用に成功した低権限の認証済みユーザーは、 MFA 前の Cookie を再生することで他のアカウントの成りすましを可能にする。この脆弱性の影響が及ぶのはバージョン 2025.3.5 以下であり、すでに同社は、CVE-2025-12485/CVE-2025-12808 に対処するパッチを公開している。
この脆弱性は、Devolutions Server が認証プロセス中に MFA 前の Cookie を処理する方法に起因する。正当なユーザーの MFA 前の Cookie を傍受し再生する低権限の攻撃者は、標的アカウントへの成りすましを可能にする。ただし、多要素認証を完全に回避するものではないため、攻撃者が完全なアクセス権を得るには MFA を完了する必要がある。
| CVE ID | Severity | CVSS Score | Vulnerability |
|---|---|---|---|
| CVE-2025-12485 | Critical | 9.4 | Improper privilege management during pre-MFA cookie handling – allows authenticated users to impersonate other accounts via cookie replay |
この制限があるとはいえ、攻撃者は MFA 段階に到達できる。したがって、Devolutions Server を認証情報およびアクセス管理に利用する組織にとって、それ自体が深刻なセキュリティ・リスクとなる。
この成りすましの脆弱性は権限管理の不備として分類され、認証システムにおける MFA 前のユーザー ID 検証に根本的な欠陥が存在することを示している。特に、Devolutions Server 上でインフラ全体の特権アクセスを管理する組織にとって懸念が大きく、攻撃者による横展開や権限昇格につながる可能性がある。
同時に公開された2つ目の脆弱性 CVE-2025-12808 (CVSS:7.1:High) は、不適切なアクセス制御に起因する。閲覧専用権限のユーザーに対して、機密性の高いフィールドへのアクセスを許すことになる。
具体的には、機密フィールドからパスワード・リストやカスタム値を取得する閲覧専用ユーザーが、パスワードの漏洩を引き起こす可能性がある。つまり、この脆弱性はロール・ベースのアクセス制御を弱体化させ、本来は到達できない情報へのアクセスを、低権限ユーザーに許すことになる。
すでに Devolutions は、セキュリティ・アップデートをリリースし、これらの問題に対処している。Devolutions Server を使用する組織にとって必要なことは、バージョン 2025.3.6.0 以降へと直ちにアップグレードすることだ。なお、旧リリース・ブランチを使用している場合は、バージョン 2025.2.17.0 以降へとアップグレードする必要がある。
2025年11月6日に公開されたセキュリティ・アドバイザリでは、脆弱性の詳細および修正手順が提供されている。
これら2つの脆弱性が浮き彫りにするのは、アクセス制御システムを常に最新の状態に維持し、認証メカニズムを定期的に監査する必要性である。Devolutions Server を通じて特権アカウントを管理する組織は、潜在的な不正アクセスやアカウント成りすまし攻撃を防ぐために、これらのパッチ適用を最優先で実施することが求められる。
Devolutions の問題は、認証や権限管理の設計が “途中段階の状態” を十分に保護していない点に原因があります。MFA 前の Cookie とユーザー識別が結び付いておらず、盗まれた Cookie の再利用により成りすましが起きてしまうようです。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.